基于云計(jì)算環(huán)境下的可信平臺(tái)設(shè)計(jì).pdf

1、云計(jì)算環(huán)境的靈活性、開放性以及公眾可用性等特性，給應(yīng)用安全帶來了很多挑戰(zhàn)。隨著新興可信計(jì)算技術(shù)的出現(xiàn)，可信計(jì)算在信息安全中使用的越來越多，使用可信計(jì)算技術(shù)來保障系統(tǒng)和硬件安全的技術(shù)也越來越成熟。本文就是通過在嵌入式終端設(shè)備中引入可信計(jì)算技術(shù)，結(jié)合動(dòng)態(tài)度量和遠(yuǎn)程證明等保護(hù)方式，來構(gòu)建一個(gè)安全可靠的終端可信平臺(tái)和系統(tǒng)。信任鏈可信傳遞作為可信計(jì)算的一種機(jī)制，能夠保護(hù)可信終端的每一個(gè)鏈條的絕對(duì)可信性，從而構(gòu)建成一個(gè)可信鏈條，以此筑成安全可信終端

2、使用環(huán)境。使用可信計(jì)算技術(shù)，就是希望從“根”上來建立安全可信的終端計(jì)算系統(tǒng)，防止信息的泄露，杜絕潛在的攻擊。本文通過分析當(dāng)前云計(jì)算、可信計(jì)算等技術(shù)，結(jié)合目前計(jì)算終端平臺(tái)的軟硬件與可信性需求的基礎(chǔ)上，提出了一個(gè)系統(tǒng)的解決方案，以提高在云計(jì)算下終端平臺(tái)的可信性。
　　本文對(duì)云計(jì)算終端平臺(tái)的可信性、安全性等方面進(jìn)行研究，希望能提供一套實(shí)際、有效以及可靠的解決方案，使現(xiàn)有終端平臺(tái)與云服務(wù)器系統(tǒng)能利用該研究的成果，保證終端平臺(tái)與云服務(wù)器之間

3、能夠安全的訪問。本文提出的可信計(jì)算技術(shù)在云計(jì)算終端的使用，不僅對(duì)于云計(jì)算具有重要意義，而且將促進(jìn)終端設(shè)備在信息安全方面安全保護(hù)的應(yīng)用前景。本文的主要?jiǎng)?chuàng)新工作包括：
　　1.將可信平臺(tái)模塊TPM嵌入到可信計(jì)算平臺(tái)中，以構(gòu)建一個(gè)安全可信的計(jì)算終端平臺(tái)，即通過靜態(tài)信任鏈的構(gòu)建，保證硬件本身和系統(tǒng)的安全可信；通過動(dòng)態(tài)信任鏈的構(gòu)建，保證應(yīng)用程序的安裝和系統(tǒng)運(yùn)行過程的安全可信。這樣，整個(gè)嵌入式系統(tǒng)平臺(tái)都是處于一個(gè)安全可信的狀態(tài)，就從內(nèi)而外構(gòu)建

4、了一條安全可信的可信鏈，再加上有效的可信傳遞，從而使整個(gè)嵌入式終端平臺(tái)成為一個(gè)安全可信計(jì)算終端平臺(tái)。在動(dòng)態(tài)度量中基于虛擬機(jī)監(jiān)控動(dòng)態(tài)度量方法設(shè)計(jì)和基于可信計(jì)算的實(shí)時(shí)度量模型設(shè)計(jì)的建立，更能有效地保障應(yīng)用程序的可信傳遞和系統(tǒng)可信運(yùn)行。
　　2.在嵌入式系統(tǒng)中，可信設(shè)備的可信啟動(dòng)是整個(gè)系統(tǒng)可信的關(guān)鍵，因此，在構(gòu)建可信的嵌入式設(shè)備中，信任根的構(gòu)建是非常重要的。因?yàn)樾湃胃切湃捂湹钠瘘c(diǎn)，是構(gòu)建可信設(shè)備的基礎(chǔ)。在可信度量技術(shù)的保障下，信任鏈的

5、傳遞，從底層到操作系統(tǒng)，再到最上層的應(yīng)用程序，都需要經(jīng)過嚴(yán)格的度量,才能得到信任，我們通常說的度量指一個(gè)測量或者是認(rèn)證過程，通過對(duì)模塊的摘要與同期值進(jìn)行比較，判斷模塊的完整性。只有通過度量認(rèn)可之后，才能使信任鏈能夠可靠的傳遞。
　　3.為了保證可信終端平臺(tái)能夠安全訪問云服務(wù)器，引入了遠(yuǎn)程證明技術(shù)。遠(yuǎn)程證明就是為了實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境的可信，確保終端的可信性向網(wǎng)絡(luò)中傳遞，確保終端與終端之間、終端與服務(wù)器之間可以進(jìn)行可信通信，從而建立安全的網(wǎng)

6、絡(luò)環(huán)境。在遠(yuǎn)程證明中，將終端的完整性狀態(tài)信息傳遞給需要的驗(yàn)證方，當(dāng)驗(yàn)證方得到終端信息之后，通過驗(yàn)證和判斷，建立一條資源共享的通道。通過遠(yuǎn)程證明技術(shù)的使用，就是為了建立一個(gè)可信的網(wǎng)絡(luò)終端設(shè)備，可以對(duì)服務(wù)器進(jìn)行可信性的訪問。本文提出了基于身份和屬性證書的遠(yuǎn)程證明方案設(shè)計(jì)，通過身份和屬性與平臺(tái)配置之間的映射關(guān)系，在可信第三方的幫助下，頒發(fā)身份和屬性證書，來證明證明方的可信安全屬性，驗(yàn)證方再通過第三方的頒發(fā)身份和屬性證書來驗(yàn)證證明方的安全可信，

7、保證訪問服務(wù)器的終端設(shè)備是安全可信的。
　　4.利用公司提供的技術(shù)平臺(tái)，結(jié)合嵌入式可信啟動(dòng)的設(shè)計(jì)、靜態(tài)信任鏈和動(dòng)態(tài)信任鏈的構(gòu)建、可信終端設(shè)備訪問服務(wù)器的基于身份與屬性的遠(yuǎn)程證明設(shè)計(jì)，實(shí)現(xiàn)了基于云計(jì)算環(huán)境下可信平臺(tái)——云電視。基于可信終端云電視平臺(tái)的可信認(rèn)證機(jī)制原型系統(tǒng)的實(shí)現(xiàn)，使得云電視終端在啟動(dòng)、運(yùn)行、訪問云服務(wù)平臺(tái)中心，能夠安全、有效地運(yùn)行和通信。
　　綜上所述，本文對(duì)可信技術(shù)中可信計(jì)算中的可信啟動(dòng)，靜態(tài)信任鏈和動(dòng)態(tài)信任鏈